Finlex: Auswirkungen der aktuellen EuGH-Rechtsprechung auf die Cyber-Versicherung

Die Cyber-Versicherung wird deshalb davon betroffen sein, da Sachverhalte, in denen Unternehmen von Kunden auf Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen werden, grundsätzlich unter die Deckung von Cyber-Policen fallen. Der Beitrag fasst die EuGH-Urteile C-687/21, C-340/21 sowie C-456/22 kurz zusammen, erläutert die Voraussetzungen eines Schmerzensgeldanspruchs gem. Art. 82 DSGVO und schließt mit einem Blick auf die Versicherbarkeit solcher Ansprüche in der Cyber-Versicherung.

EuGH-Urteil vom 15.01.2024, Az. C-687/21: Kein Schmerzensgeld ohne nachgewiesene Kenntnisnahme

Ein Verbraucher erwarb bei einem Elektrofachhändler ein Haushaltsgerät. Versehentlich wurde das Gerät mit den Kauf- und Kreditvertragsunterlagen einem anderen Kunden ausgehändigt, der sich vorgedrängelt hatte. Obwohl der Irrtum schnell bemerkt und die Unterlagen zurückgegeben wurden, klagte der wahre Käufer auf Schadensersatz wegen des Risikos, die Kontrolle über seine personenbezogenen Daten zu verlieren. Der EuGH lehnte einen Anspruch gemäß Artikel 82 DSGVO ab. Nach dem Urteil besteht kein Anspruch auf Schmerzensgeld, wenn die Daten zwar weitergegeben, aber nicht von Unbefugten zur Kenntnis genommen wurden. Alleinige Sorgen um möglichen Missbrauch begründen keinen Anspruch auf immateriellen Schadensersatz.

EuGH-Urteil vom 14.12.2023, Az. C-340/21: Schmerzensgeld bei Angst vor Datenmissbrauch

Eine bulgarische Behörde wurde Opfer eines Hackerangriffs, bei dem Daten von über 6 Millionen Personen gestohlen und veröffentlicht wurden. Eine Betroffene klagte auf Schadensersatz wegen der Furcht vor Datenmissbrauch. Der EuGH entschied zugunsten der Klägerin: Die berechtigte Angst vor möglichem Datenmissbrauch begründet einen Schmerzensgeldanspruch. Die Behörde war in der Pflicht, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Daten zu schützen. Erfolglose Schutzmaßnahmen allein entlasten nicht von der Verantwortung. Die Behörde hätte nachweisen müssen, dass ihre Maßnahmen wirksam waren und sie nicht für den Schaden haftet.

EuGH-Urteil vom 14.12.2023, Az. C-456/22: Keine Bagatellgrenze bei Schmerzensgeld

Eine Gemeinde in Baden-Württemberg veröffentlichte ohne rechtliche Grundlage die Namen zweier Personen auf ihrer Website. Obwohl der Eintrag kurz darauf gelöscht wurde, forderten die Betroffenen Schadensersatz nach Art. 82 DSGVO wegen unzulässiger Datenveröffentlichung. Der EuGH entschied zugunsten der Kläger: Auch bei Bagatellschäden besteht ein Anspruch auf Schmerzensgeld gemäß Art. 82 DSGVO. Die betroffenen Personen müssen lediglich nachweisen, dass sie einen immateriellen Schaden erlitten haben. Das Urteil stärkt die Rechte von Betroffenen und hebt die Bagatellgrenze für Schadenersatz im Sinne der DSGVO auf.

Voraussetzungen eines Schmerzensgeldanspruchs gemäß Art. 82 DSGVO

Die Urteile des EuGH drehen sich stets um die Frage, ob Betroffene einen Anspruch aus Art. 82 DSGVO haben. Diese Bestimmung bietet eine eigenständige rechtliche Grundlage für Schadensersatz bei Datenschutzverletzungen. Um einen Anspruch geltend zu machen, muss zunächst ein Verstoß gegen die DSGVO vorliegen, der fahrlässig oder vorsätzlich begangen wurde. Das Verschulden wird in der Regel vermutet, aber der Verantwortliche kann sich entlasten, indem er nachweist, angemessene Sicherheitsmaßnahmen getroffen zu haben. Ein kausaler Schaden ist für einen begründeten Schadensersatzanspruch wesentlich. Dies kann sowohl materielle Schäden als auch immaterielle Schäden (Schmerzensgeld) umfassen. Für ein Schmerzensgeld muss der Betroffene nachweisen, dass er einen spürbaren Nachteil erlitten hat, der aus einer nachvollziehbaren Beeinträchtigung persönlicher Belange resultiert.

Versicherbarkeit in der Cyber-Versicherung

Dr. Marcel Straub, Head of Legal bei Finlex:

"Erfreulich ist, dass für Sachverhalte, in denen Unternehmen von Kunden auf Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen werden, grundsätzlich Deckung im Rahmen von Cyber- Versicherungen besteht. Der Anwendungsbereich der Cyber-Versicherung ist in aller Regel eröffnet, da ein sog. deckungsauslösendes Ereignis in Form einer Verletzung datenschutzrechtlicher Bestimmungen vorliegt. Als Daten gelten hierbei in vielen Bedingungswerken auch physische Dokumente bzw. nicht-elektronische Daten, so dass auch im Sachverhalt des Elektrofachhändlers (Az. C-687/21), bei welchem Kauf- und Kreditvertragsunterlagen versehentlich einem anderen Kunden ausgehändigt wurden, ein deckungsauslösendes Ereignis anzunehmen wäre."

Liegt ein deckungsauslösendes Ereignis vor, ist der Haftpflichtteil der Police ansteuerbar. Der Versicherungsschutz umfasst hierbei zunächst die Prüfung der Haftpflichtfrage durch den Versicherer. Auf Grundlage der Einschätzung gewährt der Versicherer sodann Versicherungsschutz für die gerichtliche und außergerichtliche Abwehr von unbegründeten Ansprüchen oder stellt das versicherte Unternehmen von begründeten Ansprüchen frei.

Dr. Marcel Straub:

"Für die vorliegenden Fälle bedeutet dies, dass ein Versicherer in allen drei EuGH-Fällen zum einen die angefallenen angemessenen Abwehrkosten hätte tragen müssen. Zum anderen wäre vom Versicherungsschutz grundsätzlich auch umfasst, dass ein Versicherer den vom Unternehmen an die Kunden zu leistenden Schadenersatz tragen müsste. In den Fällen Az. C-340/21 und Az. C-456/22 bestünde daher Versicherungsschutz sowohl für die Kosten der erfolglosen Abwehr der geltend gemachten Ansprüche als auch für die zu leistenden Schadenersatzansprüche gem. Art. 82 DSGVO."

Ausblick

Die Urteile erweitern die bestehende Rechtsprechung zu Art. 82 DSGVO und präzisieren die bereits erkennbare Linie des EuGH. Durch die Betonung der Notwendigkeit einer konkreten und individuellen Bewertung von Sicherheitsmaßnahmen sowie die Verantwortung von Datenverarbeitern und die Verneinung einer Bagatellgrenze für immaterielle Schäden stärkt der EuGH weiter die Rechte von betroffenen Personen bei Datenschutzverletzungen.